我爱电脑技术论坛's Archiver

LOK 发表于 2008-6-22 09:29

记一次对母校安全检测(续)

作者:职业色狼[华夏黑客联盟VIP讲师]
,?)z{Yj3A 'JqQm!s a
    上次本人对母校做了一次安全检测,成功的入侵其web发布站点。不过本人却没什么好果子吃,被老师教训了一顿,把我训得点头哈腰的,弄了一个灰头土脸,很是郁闷。
i$j4Z B:T     虽然上次受到上次的挫折,但是本人不长记性。这次乘毕业之即再次对看了一下学校的,内部网络安全程度。学校的主站提供一个链接到一个IP地址查询我们成绩,本人挂了N科所以经常去查分,IP地址是[url]http://218.xx.185.165[/url] 扫描一下开只开了80端口,估计是映射出来的,扫描一下c端,查找一下存活主机,结果发现只有4个IP属于我们学校的164 165 168 169 ,也就是说提供外部访问的只有这4台计算机。我的目标就是拿下165这台学生数据库服务器,懒得挨着扫每个端口了,直接利用80端口进行入侵。登陆[url]http://218.xx.185.165[/url] 输入学号密码也是学号,这里面所有连接地址我都看过了,没有什么可以利用的信息。里面有个编辑器还有个上传的地方,可惜是坏的不能传。高级权限帐号我不知道,我打算从c段的那3台主机开始搞。大概看了一下其他3个IP都开了什么东西,164是一个web形式的办公系统,165是学生数据服务器,168是图书管服务器,169是学校oa系统服务器。这些服务器没有特别的漏洞,最另人讨厌的是他们没有任何网页形式,打开界面如图
&[ zb[m-}SfT n?
4rm!r3N)i X\ rI.\ [attach]32766[/attach]Pgh,|_1XCxd/I&a&Y I
   cNQe7w @9qa
[attach]32767[/attach]
)Z L y%a~$oa Zf?m
|}y}\ 只是一个登陆窗口而已,这样找注射点就不可能了。%y)['JJ)]P d#u V
    既然这样我就去弄个帐号吧,记得上次进入服务器的时候我把网站后台,每个人的后台登陆密码都记了下来,虽然这些密码大部分都是md5形式的,但是还是找到了两个存在弱口令的帐户。如图
.Ym!DGK y)DF   .JXDD cOznS$u
[attach]32768[/attach]/Uym u7b-MQ`O

#Hm\&h/qL,a qK] 最后一个就是,这个密码拿到[url]www.cmd5.com[/url]破出来了,是个女老师,后来发现原来她的163邮箱密码也是这个,她可还是重庆计算机大学毕业的网络工程师哦 - -!。用这个密码成功在164的办公系统登陆,这里选项功能非常烦琐,终于在翻了N久之后发现一个文档上传,只允许传图片。抓个包发现名字是upfiles.asp,呵呵好眼熟,翻出啊D把地址写上居然上传成功,就这样拿到了shell 。又继续在shelll里翻,找到了网站的conn.asp 发现了sa密码是xyt999使用sqltool连接发现不允许外部连接,使用海洋的数据库操作功能把帐户和密码写上,连接成功,添加一个帐户,进去后先克隆了一个帐户。晚上在来的时候安后门的时候,在服务器发现了一个赛门铁克的的防入侵系统,由于后门比较早了,他把我的gina木马给删了这很是郁闷(渗透的时候我喜欢把管理员的密码抓到,对渗透很有帮助)。我一气之下就把它给卸载了,在安装gina木马成功,并且我还把c:\windows\system32\sethc.exe这个文件用cmd.exe替换掉了,这样我们按5次shift后会跳出cmd。第2天利用webshell查看系统终端端口是6911,连接上去后不登陆(白天服务器上都有人在操作),shift5次出现cmd窗口执行query user,发现管理员处于连接状态,再执行type boot.bat 得到了两个管理员的登陆密码 如图
4e5fZ {PQo$Zwf p2L    {'U0wqqz
[attach]32769[/attach]
,e&G2kPX !PC5z0KA1PL?Id-^@~
这两个密码很复杂。YYGYuxxxxx&*<>169..和WjJixxxxo2wU这样我们就成功抓到一台,原来这台服务器是教师评教系统和教师工资查询组成的。e0IK#cE^(e
    执行IPCONFIG发现是内网ip,在服务器用superscan(内网扫描会比外网好得多,比较详细)发现很多端口,165的机器开了3389但是外网是不允许连接的,只可以在这内网也,是这台肉鸡上连接。上传cain(一个arp抓密码工具),对165.168.169进行嗅探,这里要说一下,我发现每次嗅到的结果都是些垃圾信息,不知道怎么回事。后来我研究了一下,打开[url]http://218.xx.185.165[/url] 我们查看源文件发现登陆的ID比较特殊,在cain的配置里没有,代码如下k @&i f;v/i{3D&~9R
<input name="tbpsw" Type="password" Id="tbpsw"zT)v/eH8Gn k
这样我们把这登陆特征信息写入cain的配置,如图 位置在http fileds这里
1{t5p)dG[?   A/z9|b @
[attach]32770[/attach]
GOx ]Z ZU%J-w~ZI [
这样果然就可以得到正确的帐户和密码了。在164的服务器里还发现一个3389的连接,IP是192.168.106.2用抓到的administrator密码登陆成功, 这个是管理员自己的机器,里面有很多重要信息和文件。如图%O8Hz6t-?V}+_5T1CV;N:H3L

w;vA/Ih'N9k9B [attach]32771[/attach]
N `2~T"pX/Y-M
4qQnJ"K.X(|2j(K 最有意思的是我在这里发现mstsc里面保存着密码直接连接就可以登陆里面所有的服务器,包括换了服务器的新网站。如图.N X?!m5z
6m6L)@"fLr(^(T"{
[attach]32772[/attach]XJ^m7v qM?
q.CVBsb@ I
[attach]32773[/attach]
us}| @ c7g4y t U1np4^:@p
接下来看看那个oa服务器吧,用刚才那个女老师的帐户同样可以登陆进去,这里转了半天只发现了一个编辑工具,漏洞还被打上了,看来不行了,突然想起来前几天看过一个社会工程学的文章。于是我把开始得来的密码在这调换了一下,在165测试不成功168测试也不成功,结果到169的终端是6912(这个是在164的mstsc.exe里面发现的,应该是管理员登陆时留下的)测试成功,密码居然是把YYGYuxxxxx&*<>169..后面的164改成169就可以登陆了,呵呵得来全不费工夫,进去后发现169装有arp放火墙,而且处于报警状态,于是我把报警记录清除,停止了对169的嗅探,并安装gina木马,搜集服务器重要信息,我发现169有一个数据库管理文件,打开后入图 居然把sa密码保存,- -!通过星号密码查看器成功得到sa密码admpl,098。过了几天在cain里又嗅得到了168的sa密码ty2197*() ,就这样拿下了3台服务器。并在服务器得到很重要信息,3台服务器的sa密码和管理员登陆密码,并在服务器里找一些学校工作人员平时用的ftp帐户和密码,在sql server里找到了几个管理员的密码,还有些敏感信息。两台主机如图8g {[,eDY
  
~ GB^6s-i L [attach]32774[/attach]bh7\Z_U3o
-`l.e*E6ly
可是165这台好象是非常顽固的服务器,扫描虽然也开了不少端口但是都不知道是什么服务,很恼火。我用得来的信息一一测试都无效。也没ftp只有个3389管理。于是渗透就告了一段落,不过我还是坚持每天靠cain来嗅。虽然嗅到几个老师的帐户,登陆进去上传头像的地方可以传aspx后门,可是访问的时候没有真实地址,估计传上去被改成图片了吧。在课件上传那里发现可以传htm.doc,不可以传aspx,找朋友来看说可以截断字符上传,测试没有成功。我在这里发现了一个目录可以浏览,上传的文件都在这个目录 如图。Of dm$D
  0K\!L,H)Oh
[attach]32775[/attach]$Q clmsC%w2f
"A%bm-}6g
由于我的目标是165如果进不去就是失败咯,不甘心啊。不过还好,终于有一天,我在cain里发现了一个跟别的帐户不太一样的登陆帐户和密码,ty_zb001 帐户和密码是一样的,如图([)kZ2s"[R.|
  
c G)B-OZz GH [attach]32776[/attach]
m'FO5D6r W&o
}'s o^%TP a 登陆的时候选择身份,学生和教师都不对,用部门成功登陆,在里面发现有个教务处公告发布的地方,如图
up6G dEVS!~ G
#K4k ^"{}r+S [attach]32777[/attach] {el"ZC M(qr@ T

!q H]}8I0g4B 在这里成功的上传了我的aspx小马,在用小马写了一个大的aspx马,如图
eN@mQ/r x5N   #V+c[Gi?
[attach]32778[/attach]
cT8V;^+uF
%SiP6|$P7Z[O:E0Ydg 呵呵当时心情可是非常的激动哦。在服务器里查找有用信息,执行netstat -an发先3389 开启,但是貌似不是mssql,居然是我摸都没摸国的oracle 数据库,晕。在一个文件里发现一串代码貌似是数据库连接密码。!Akt~q}W M l
<add key="MyConn" value="Data Source=orcl;User Id=gxjxgl;Password=zfsoft_gxedu;"/><!--User Id=sdgy;Password=sdgy;"/-->;h0_&w3D;a#n\o
    所以这次检测到这里告一段落了,希望大家不要破坏国内网站,否则会受到惩罚的哟。$VA{m}0u+Pn
(温馨提醒:本文作者已联系管理员修补了漏洞,请大家不要在进行测试。)

页: [1]
   

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.